Depuis vendredi soir, une attaque sur les sites WordPress a été détectée par les experts en sécurité. Comme le signale Matt Mullenweg, fondateur de WordPress, cette attaque n’affectera pas 99 % des sites WordPress puisqu’elle s’en prend à une vulnérabilité qui a depuis été maintes et maintes fois décrite, la grande majorité des usagers étant beaucoup plus informés et conscients de prendre des mesures pour protéger leurs installations. Voici une bonne occasion pour nous de faire un peu d’éducation et de rappeler les bonnes pratiques.
Le type d’attaque
À l’origine quand on installe WordPress, le compte par défaut s’appelle admin. Depuis la version 3.0 datant de juin 2010, on peut désormais dès le début de l’installation changer cet identifiant. L’attaque en cours vise essentiellement les sites ayant conservé le vieil identifiant admin. Ce genre d’attaque s’appelle « force brute . Des Bots Net lancent une immense vague de requêtes à la recherche de ces fameux identifiants admin. Une fois repérés, ces mêmes Bots Net vont tester dans un cours laps de temps une grande quantité de mots de passe pour accéder à votre admin et prendre le contrôle de votre site.
Vérifier son installation
La première chose à faire est bien sûr de retirer les comptes admin, de changer son mot de passe en choisissant une combinaison sécuritaire, de vérifier si votre site est équipé d’un plugin protégeant les tentatives d’intrusion par mot de passe comme Login Lock Down ou Limit Login Attempts
Comment supprimer un compte admin
Connectez vous à votre tableau de bord avec le compte admin par défaut.
Allez dans le menu Utilisateurs et cliquez sur Ajouter
Créer un nouveau compte administrateur avec un identifiant spécifique et un mot de passe sécuritaire.
Déconnectez-vous de votre tableau de bord et reconnectez-vous avec votre nouvel identifiant.
Allez dans le menu Utilisateurs/Tous les utilisateurs, sélectionnez le compte admin et cliquez sur Supprimer.
Attribuer ensuite les articles à votre nouveau compte administrateur.
Retour sur les principes de base
Assurez-vous que vous n’avez pas de compte admin
Faites des mises à jour de WordPress et des plugins régulièrement.
Une installation WordPress necessite 3 sortes de mots de passe : un pour le FTP, un pour la base de données, un pour se connecter à l’admin. Il est évident que plus ces mots de passe circulent entre plusieurs personnes, plus les risques augmentent. Conseil: si un de vos collègues, employés, fournisseurs met fin à sa relation avec votre projet, changez ces mots de passe.
Utiliser des mots de passe puissants (majuscules, minuscules, chiffres, caractères spéciaux)
Faites des sauvegardes régulières de votre base de données
Renforcer sa protection
Une fois ces opérations complétées, vous êtes mieux protégés mais pas invulnérables. Il faut quand même savoir que WordPress est un logiciel de gestion de contenu très sécuritaire mais qu’aucun système même très protégé n’est infaillible. Le problème du hacking est sans fin. Plus on prend des mesures pour sécuriser WordPress, plus WordPress propose des mises à jour pour améliorer sa sécurité, plus les hackers redoublent d’ingéniosité pour déjouer les embuches. Tous les géants du web ont déjà subi des attaques, que ce soit Google, Facebook ou Twitter y compris les grosses firmes d’hébergement comme HostPapa ou GoDaddy, donc WordPress n’échappe pas à la règle.
– Installer et configurer le plugin Better WP Security. Ce plugin rassemble une suite de fonctionnalités de protection visant à corriger l’ensemble des vulnérabilités identifiées ces dernières années. À lui seul il est capable de remplacer plusieurs plugins dédiés à une seul tâche voir le tutoriel vidéo ici et les explications ici.
– S’abonner à VaultPress, un plugin développé par Automattic la maison de mère de WordPress. Ce plugin payant ( 15 $/mois) permet de connecter en permanence votre site aux serveurs de WordPress. Le site est régulièrement scanné et sauvegardé. Ce qui est intéressant c’est que même si vous avez fait vos devoirs et qu’un incident survient, vous pouvez rapidement en quelques clics restaurer votre site immédiatement. De plus vous avez accès aux ingénieurs et techniciens de WordPress qui pourront vous conseiller et vous guider sur la marche à suivre.
– Installer et configurer CloudFlare. Ce service gratuit permet d’accélérer la rapidité de chargement de vos pages, d’économiser de la bande passante et en même temps de protéger votre site contre les Bots Net et les spammeurs grâce à un système de détection d’attaques directement bloquées à la source. Toutes les explications sont ici.
Bonjour,merci pour ce superbe article
J utilise régulièrement le plugin WP better security pour protéger les sites Worpress de mes clients … je vous recommande cette extension.
Oui, nous l’utilisons avec nos clients, très complet
@philippe
Oui cette extension est très complète est assez simple d utilisation.
Ce plugins de sécurité détecte tout ce qui ne va pas ,reste à cliquer afin de corriger les problèmes ,Itheme security permet également de renommer le compte administrateur de modifier votre fichier .htacess…..
Une extension fiable et très bien noté …
j utilise également Wordfence pour sécuriser les sites de mes clients.
Bonjour Philippe
l extension de sécurité Itheme permet également de personnaliser l url de la page de connexion…et de modifier le nom d utilisateur « admin » cela va limiter le nombre d attaque par bruteforce …en plugin de sécurité je n ai pas réussi à trouver mieux ..
Bonjour,
C’est tout bête, mais penser également à fermer vore FTP, si c’est possible ça dépend de l’hebergement et du prestataire choisi, chez OVH, c’est le cas une fois que vous avez fini de travailller fermer votre FTP, le login est rendu impossible